De bowtie-methode is een kwalitatieve methode voor risico-analyse. De methode is ontwikkeld door Shell in het begin van de jaren '90 van de vorige eeuw, bij het onderzoek naar de oorzaken van de ramp met het Piper Alpha[1] boorplatform.
Beheersing van risico's
Bowtie is gebaseerd op scenariodenken. Het is extra krachtig doordat het een helder overzicht geeft van de beheersing van de risico's van complexe systemen met een directe koppeling naar specifieke organisatorische factoren zoals risicoperceptie, gedrag, cultuur en aanwezige middelen en competenties. De grafische weergave laat in een oogopslag zien waar knelpunten zitten bij de beheersing van de risico's. Het is een prima methodiek voor zowel het (hoger) management als de mensen op de werkvloer, want "een afbeelding zegt meestal meer dan duizend woorden".
Het bowtie-principe
In veel alledaagse situaties en activiteiten is sprake is van een dreiging: onder bepaalde omstandigheden kan zich een gevaar voordoen. Hiervoor kunnen dan scenario’s uitgewerkt worden. Deze kunnen weergegeven worden in een 'vlinderdas' ofwel 'bowtie' (zie infographic 1). Centraal in de vlinderdas staat de ongewenste gebeurtenis die zich voordoet als uit de bedreiging het gevaar is ontstaan, bijvoorbeeld wanneer er een gevaarlijk stof is vrijgekomen (zie infographic 2 onderaan deze pagina).
Infographic 1: voorbeeld essentie bowtie-diagram
Gevaar (Hazard)
Het begin van elke vlinderdas is het 'gevaar'. Een gevaar is iets in, rond of onderdeel van de organisatie dat de potentie heeft om schade aan te richten. Het werken met gevaarlijke stoffen, het besturen van een auto of het opslaan van gevoelige gegevens zijn bijvoorbeeld gevaarlijke aspecten van een organisatie, terwijl het lezen van deze pagina op uw computer dat niet is. Het idee van een gevaar is om de dingen te vinden die deel uitmaken van uw organisatie en die een negatieve impact kunnen hebben als de controle over dat aspect verloren gaat. Ze moeten worden geformuleerd als normale aspecten van de organisatie. De rest van de vlinderdas is gewijd aan hoe we voorkomen dat dat normale maar gevaarlijke aspect verandert in iets ongewensts. De eerste stap is altijd de moeilijkste en dat is hier ook het geval. Normaal gesproken is beginnen met bijvoorbeeld een 'Hazard Identification'[1] (HAZID) een goede manier om een lange lijst te krijgen van alle mogelijke gevaren. Vlinderdassen worden dan alleen gedaan voor die gevaren met een groot potentieel om grote schade aan te richten. Normaal gesproken is 5 tot 10 gevaren een goed uitgangspunt.
[1] 'Hazard Identification' ofwel risico-identificatie is een van de bekendste methodologieën om potentiële gevaren te identificeren, omdat het een gestructureerde aanpak biedt om gevaren en mogelijke ongewenste gevolgen te identificeren en de ernst en waarschijnlijkheid van wat wordt geïdentificeerd te evalueren.
Risico-identificatie is het proces van het vinden, herkennen en beschrijven van risico's. Het doel van deze stap is het genereren van een uitgebreide lijst van risico's. ISO 31000 biedt principes en algemene richtlijnen voor risicobeheer. Deze internationale norm kan worden toegepast op elk type risico, van welke aard dan ook, of het nu positieve of negatieve gevolgen heeft. ISO 31000 kan worden gebruikt om het proces te beschrijven van het gebruik van HAZID-uitkomsten (5.4.2) als input voor het maken van bowtie-diagrammen (5.4.3).
Hoofdgebeurtenis (Top Event)
Zodra het gevaar is gekozen, is de volgende stap het definiëren van het 'hoofdgebeurtenis'. Dit is het moment waarop de controle over het gevaar verloren gaat. Er is nog geen schade of negatieve impact, maar het is aanstaande. Dit betekent dat de belangrijkste gebeurtenis wordt gekozen net voordat de gebeurtenissen daadwerkelijke schade beginnen aan te richten. De hoofdgebeurtenis is echter een keuze, wat is het exacte moment dat de controle verloren gaat? Dit is voor een groot deel een subjectieve en pragmatische keuze. Vaak wordt de hoofdgebeurtenis opnieuw geformuleerd nadat de rest van de vlinderdas is afgemaakt. Maak u in het begin niet te veel zorgen over de formulering. U kunt beginnen met een algemeen 'verlies van controle' en dit tijdens het vlinderdasproces een paar keer opnieuw bekijken om de formulering aan te scherpen.Bedreigingen (Threats)
Bedreigingen zijn de oorzaak van uw hoofdgebeurtenis. Er kunnen meerdere bedreigingen zijn. Probeer algemene formuleringen zoals 'menselijke fouten', 'defecte apparatuur' of 'weersomstandigheden' te vermijden. Wat doet een persoon eigenlijk om de hoofdgebeurtenis te veroorzaken? Welk apparaat? Wat voor weer of wat heeft het weer invloed? U kunt ook te specifiek zijn, maar over het algemeen zijn mensen te algemeen.Gevolgen (Consequences)
Gevolgen zijn het resultaat van de hoofdgebeurtenis. Er kan meer dan één gevolg zijn voor elke hoofdgebeurtenis. Net als bij de bedreigingen, hebben mensen de neiging zich te concentreren op algemene categorieën in plaats van specifieke gebeurtenissen te beschrijven. Probeer u niet te concentreren op letsel/dodelijk ongeval, schade aan activa, milieuschade, reputatieschade of financiële schade. Dat zijn bredere categorieën van schade in plaats van specifieke beschrijvingen van gevolggebeurtenissen. Probeer gebeurtenissen te beschrijven als 'auto kantelt', 'olielek in zee' of 'giftige wolkenvormen'. Naast dat u meer specifieke informatie bevat, help u uzelf ook om gerichter na te denken bij het bedenken van barrières. Bedenk hoe u 'milieuschade' versus 'olielekkage in zee' wilt voorkomen. Het tweede is een reëel scenario dat het veel gemakkelijker maakt om specifieke barrières te bedenken.
Kort samengevat
In dit stadium hebben we een duidelijk inzicht in het risico en wat er moet worden beheerst. Het gevaar, de belangrijkste gebeurtenis, de bedreigingen en de gevolgen geven ons een overzicht van alles wat we niet willen rond een bepaald gevaar. Elke lijn door de vlinderdas vertegenwoordigt een ander potentieel incident. Naast het bevatten van incidentscenario's die zich mogelijk al hebben voorgedaan, is een deel van de kracht van de vlinderdas dat er ook ruimte is voor scenario's die zich nog niet hebben voorgedaan. Dit maakt het een zeer proactieve aanpak.
Barrières: controle en herstel (Barriers: Control and Recovery)
Barrières in de vlinderdas verschijnen aan beide zijden van de hoofdgebeurtenis.
Barrières aan de linkerkant onderbreken het scenario, zodat de bedreigingen zich niet voordoen, en als ze dat wel doen, deze niet resulteren in een verlies van controle (de belangrijkste gebeurtenis).
Barrières aan de rechterkant zorgen ervoor dat als de hoofdgebeurtenis wordt bereikt, het scenario niet escaleert tot een daadwerkelijke impact (de gevolgen) en/of ze verzachten (mitigeren) de impact.
Er zijn verschillende soorten barrières, die voornamelijk een combinatie zijn van menselijk gedrag en/of (hardware-) technologie. Zodra de barrières zijn geïdentificeerd, hebt u een basiskennis van hoe risico's worden beheerd. U kunt verder bouwen op deze basisbarrièrestructuur om uw begrip van waar de sterke en zwakke punten liggen te verdiepen. Barrières kunnen worden geclassificeerd en beoordeeld naast barrièretypes, om bijvoorbeeld de effectiviteit van barrières op te nemen. Zo kunt u beoordelen hoe goed een barrière presteert of naar verwachting zal presteren, op basis van beschikbare gegevens en/of op basis van het oordeel van experts. Daarna kunt u kijken naar de activiteiten die u hebt gespecificeerd om uw barrières te implementeren en te onderhouden. Dit betekent in wezen dat u uw Safety Management System (SMS) op de barrières in kaart brengt. Bovendien kunt u bepalen wie verantwoordelijk is voor een barrière en de kriticiteit van een barrière beoordelen in de context van alle andere gerelateerde informatie. Dit zijn allemaal dingen die u kunt doen om uw begrip van de barrières te vergroten. Uiteindelijk geeft het koppelen en visualiseren van al deze informatie op een barrière u een holistisch overzicht van uw veiligheidsmaatregelen met relevante metadata in de context van uw risicoscenario's.Escalatiefactoren en barrières voor escalatiefactoren (Escalation factors and escalation factor barriers)
Barrières zijn nooit perfect. Zelfs de beste hardwarebarrière kan falen. Gezien dit feit, is wat u moet weten waarom een barrière zal falen. Dit gebeurt aan de hand van de 'escalatiefactor'. Alles wat een barrière doet mislukken, kan worden beschreven in een escalatiefactor. Een deur die bijvoorbeeld automatisch opent en sluit met behulp van een elektrisch mechanisme, kan buitenwerking geraken als er een stroomstoring is.
Waarschuwing! Wees voorzichtig met escalatiefactoren. U beschrijft niet alle mogelijke storingsmogelijkheden. Beschrijf alleen de echte zwakke punten van uw control framework en hoe u dat wilt managen.
De logische volgende stap om escalatiefactoren te beheersen is het creëren van barrières voor uw escalatiefactoren, met de toepasselijke naam 'escalatiefactorbarrières'. De oplossing kan zelfs een backupgenerator zijn.
Toepassing bowtie-methode
Een bowtie-analyse kan toegepast worden in de volgende situaties:Risicoanalyse voor nieuwe activiteiten, processen, en installaties
Het vooraf identificeren en analyseren van risico's voor een organisatie, activiteit of proces. Het resultaat is een duidelijk beeld van mogelijke risico’s met hun gevolgen en hetgeen de organisatie in staat stelt om te beoordelen of men 'in control' is en waar de knelpunten zijn.Risocoanalyse van de bestaande situatie
De bowtie-methode is een goed instrument om de bestaande situatie van een systeem en de wijze waarop risico's beheerst worden voor iedere werknemer overzichtelijk weer te geven. Dit geeft de deelnemers aan de bowtie-analyse meer inzicht in de processen op de afdeling. Alleen al het weergeven van de bestaande situatie kan waardevolle informatie opleveren voor verbeterpunten.Analyseren van incidenten
Analyse van incidenten al dan niet in combinatie met bijvoorbeeld de Tripod Beta-methode[2]. Hierbij wordt een incident geprojecteerd op de bowtie en wordt direct duidelijk welke barrières hebben gefaald en wat de zwakke plekken in de risicobeheersing zijn.[2] De Tripod Beta-methode ondersteunt de analyse van incidenten via een strategische benadering. Alle aspecten rondom het incident worden meegenomen: de direct falende veiligheidsvoorzieningen, maar ook de directe aanleidingen, omstandigheden en achterliggende oorzaken die tot het incident hebben geleid.
Inzichtelijk maken van het risicomanagementsysteem
Door in de bowties de barrières te koppelen aan specifieke taken en de verantwoordelijke personen of functies, ontstaat een 'blauwdruk' van de te hanteren werkwijze. Het bowtie-diagram biedt daarmee de leidinggevende een risicomanagementtool.Uitvoeren van audits
Doordat het bowtie-diagram de specifieke risico's, preventieve en herstelmaatregelen (barrières) en de bijbehorende consequenties weergeeft gekoppeld aan taken en verantwoordelijkheden van personen of functies geeft de methode een auditor een instrument voor het uitvoeren van risicogeoriënteerde audits.Hulpmiddel bij cultuurverandering
Toepassing van de bowtie-methode maakt risico's en het managementsysteem tastbaar voor medewerkers. Hun rol in het grotere geheel wordt direct duidelijk. De kracht van de bowtie-methodiek is onder andere dat bij goed geleide discussies er wederzijds begrip ontstaat en inzicht in de risico's bij de deelnemers. Vooral de basisoorzaken van enkele grote risicofactoren en incidenten blijken eye-openers te kunnen zijn.
Infographic 2: voorbeeld bowtie-diagram; brand in opslagtank
[1] Het boorplatform Piper Alpha was eigendom van een consortium bestaande uit Occidental Petroleum (Caledonia) Ltd., Texaco Britain Ltd., International Thomson plc en Texas Petroleum Ltd. dat werd uitgebaat door Occidental Petroleum.